Drošības pulkstenis: datu pārkāpumi liek korporācijām, nevis klientiem max virpuļi

29. martā Earl Enterprises paziņoja, ka tā ķēdes restorānu apmeklētājiem, iespējams, ir nozagta kredītkartes informācija. Kā parasti, kad notiek šāda veida lietas, man tika lūgts sagatavot dažus padomus patērētājiem par to, ko viņi varētu darīt, lai sevi aizsargātu. Tas ir labi nēsāts priekšmets no gadu līdzīgiem stāstiem, taču šoreiz tas jutās savādāk. Daļēji tas ir saistīts ar uzbrukuma unikālo raksturu, bet arī tāpēc, ka mūsu prakse, kas atbild par patērētāja putru tīrīšanu, nedarbojas. Ir pienācis laiks nodot atbildību tur, kur tas pieder, korporācijām, kuras vispirms ļāva apdraudēt datus.

Līdz pārkāpumam

Ja esat paēdis noteiktā Buca di Beppo, Chicken Guy!, Sandwich Earl, Mixology, Hollywood Planet vai Tequila Taqueria, iespējams, jums ir nozagta kredītkartes vai debetkartes informācija. Pēc Earl Enterprises domām, tas varēja ietvert gandrīz visu, kas vajadzīgs krāpšanas izdarīšanai: kartes numuru, derīguma termiņu un dažus karšu īpašnieku vārdus. Tiek ziņots, ka skarto cilvēku skaits ir aptuveni 2 miljoni.

Interesants fakts par šo konkrēto pārkāpumu ir tas, ka tas pats par sevi nebija pārkāpums. Tā vietā hakeriem izdevās attālināti piekļūt tirdzniecības vietām vai POS (jā, tas ir īstais saīsinājums) mašīnām dažādos restorānos un instalēt ļaunprātīgu programmatūru, kas nokasīja klientu datus. Šī informācija tika apkopota un pārdota melnā tirgus vietnēs.

Ko jūs varat darīt, lai saglabātu drošību?

Neatkarīgi no ļaunprātīgas programmatūras POS mašīnās Earl Enterprises pārkāpumi / uzbrukumi ir diezgan tipiski. Kā es sniedzu padomu, ko patērētāji (tas ir jūs) var darīt, lai saglabātu drošību.

Pirmkārt, es parasti saku, izmantojiet kredītkarti, nevis debetkarti. Kredītkaršu darījumi tiek viegli atcelti, un kredītkaršu kompānijas ļoti labi pamana krāpšanu, pirms jūs to darāt. Svarīgi ir tas, ka jūs neesat atbildīgs par krāpnieciskām kredītkartes maksām. Debeta kartes izmantošana būtībā ir skaidras naudas darījums. Jūs varat saņemt atlīdzību par tiem, taču dažreiz tas prasa ilgāku laiku, un sliktākā gadījumā scenāriji var izraisīt zināmu sašutumu bankā vai FDIC.

Kad tas nav noticis, es iedziļinos maģistrālo darījumu problēmās. Magstripes ir stulbi vienkāršas. Varat pievienot USB matricas lasītāju, paņemt karti, un dators ievadīs informāciju teksta failā jums. Mikroshēmā (EMV karte) tiek izmantots cits process, kas ir daudz drošāks un grūtāk pārtverams.

Tas noved pie dabiskas diskusijas par to, kā šī informācija parasti tiek nozagta ar mazām ierīcēm, kuras sauc par skimmeriem vai shimmers. Man ir viss stāsts par to, kā viņus pamanīt, tāpēc jūs varat to vienkārši izlasīt. Būtība ir tāda, ka ir laba ideja pārbaudīt POS automātus pirms to izmantošanas katrā kontekstā, ar kuru jūs sastopaties, bet jo īpaši pie gāzes sūkņiem un āra bankomātiem. Ietaupīja jums klikšķi (bet noklikšķiniet uz tā, tas man palīdz samaksāt).

Pēc tam es sākšu nodarboties ar augsto tehnoloģiju risinājumiem maksājumiem. Android Pay, Apple Pay un Samsung Pay izmanto marķēšanas sistēmu, kas nekad neatklāj jūsu faktisko kredītkartes informāciju. Varētu šķist, ka tos izmantot nav tik droši, jo informācija tiek pārsūtīta bez vadiem, taču patiesībā tā ir ļoti laba.

Tad es dažreiz nedaudz uzdomāšu par to, kā jūs varat izmantot Abine Blur, lai lidojuma laikā izveidotu priekšapmaksas kredītkartes un viltus e-pasta adreses. Varbūt pieminēšu, kā skaidrāki un priekšapmaksas kredītkartes ir visdrošākie un privātumu apņēmīgākie uzņēmējdarbības veidi. Es noteikti neatbalstīšu identitātes zādzību aizsardzības pakalpojumus, jo neesmu pārliecināts, ka tie tiešām darbojas, un pārāk daudz neteikšu par kredītu uzraudzību, jo neuzskatu, ka jums būtu jāmaksā par jūsu pašu apkopoto finanšu informāciju bez jūsu piekrišanas.

Es nekad neatbalstu Bitcoin, jo iesaku tos puišus nopietni.

Nav svarīgi, cik uzmanīgs tu esi

Mēs rakstām šāda veida stāstus visu laiku PCMag, un tie ir noderīgi, lai ilustrētu sīkumus, kas var mainīt cilvēku dzīvi. Cilvēkiem vajadzētu zināt gudrākus maksāšanas veidus un ieteikt izmantot paroļu pārvaldniekus un 2FA vai vismaz zināt, kādas ir šīs lietas, lai viņi varētu izdarīt apzinātu izvēli savā dzīvē. Bet Earl Enterprises pārkāpums man patiešām izdevās, jo gandrīz neko klienti nevarēja darīt, lai sevi aizsargātu.

Earl Enterprises uzbrukumā sliktajiem puišiem bija attāla piekļuve POS mašīnām. Tas nozīmē, ka neatkarīgi no tā, cik daudz klients ir izpētījis karšu lasītājus, viņi nedomāja atrast indikatora vārstuli, jo draudi bija mašīnas iekšpusē . Turklāt ASV restorānos klienti ne vienmēr saņem iespēju pat iesaistīties POS termināļa izveidē. Mēs nododam savu maksājumu serverim, kurš paņem karti un atgriežas ar kvīti. Tas nozīmē, ka klienti nevar izmantot jaunāku un drošāku mobilo ierīču norēķinu sistēmu. Nav arī garantijas, ka kāds no tirgotājiem atbalsta EMV mikroshēmas vai mobilos maksājumus vai ka darbinieki tiks apmācīti to izmantot.

Nemaz nerunājot par to, ka tika ziņots, ka Earl Enterprises bija nepieciešami 10 mēneši, lai reaģētu uz pārkāpumu. Arī tāpēc, ka šī informācija tika pārdota bez taras, kas ir standarta šāda veida operācijām, upuriem turpmākajos gados varētu rasties otrās un trešās kārtas sekas.

No visiem padomiem, kas man jāsniedz par šo tēmu, ir tikai viena iespēja: izmantot skaidru naudu vai priekšapmaksas kartes. Tas ir diezgan smieklīgs stāvoklis mūsu kunga 2019. gadā, kad es varu izmantot tālruni, lai nopirktu dronu un lai tas tiktu piegādāts manā mājā, pirms es dodos mājās, kamēr video zvana draugam Taizemē.

Pirmais masveida datu pārkāpums, kas šķita, ka tas varētu mainīt situāciju, bija 2013. gadā, kad kaut kas līdzīgs 110 miljoniem Target pircēju atklāja, ka viņu privātajā informācijā ir zilās gaismas apgaismojums. Līdzīgi kā uzbrukums Earl Enterprises, bija maz, ko klienti būtu varējuši izdarīt, lai sevi aizsargātu. Tajā laikā bija bažas, ka patērētāju negatīvā reakcija varētu nogrimt uzņēmumu.

Tas nenotika, un tas nenotika nevienam no citiem turpmākajiem pārkāpumiem, kas veidoja virsrakstus. Mērķis veica trāpījumu un samaksāja nedaudz naudas, taču tas joprojām ir bizness. Nebija arī postošu seku attiecībā uz citiem sekojošajiem pārkāpumiem, kas veidoja virsrakstus, kā arī mēs neesam redzējuši patiesas finansiālas sāpes, kad uzņēmums rīkojas slikti un ļaunprātīgi izmanto klientu privāto informāciju (skatoties uz jums, Facebook !). Faktiski šāda veida klientu nodevība ir kļuvusi tik izplatīta, ka nebija jēgas PCMag segt Earl Enterprises uzbrukumu. Tas vienkārši negarantēja uzmanību.

Neviens patērētāja pašaizsardzības līmenis neapturēs šāda veida krāpšanu, un acīmredzot neviens slikts preses izdevums par drošības pārkāpumiem nekaitēs korporācijai pietiekami, lai viņi varētu pienācīgi aizsargāt klientu informāciju. Manuprāt, tas atstāj vienu iespēju: regulējumu.

Patērētāju aizsardzība aizsargā patērētājus

• Labākie paroļu pārvaldnieki 2019. gadam Labākie paroļu pārvaldītāji 2019. gadam
• Mērķa banalizācija, kas ietekmēta līdz 70 miljoniem pircēju. Mērķa banalizēšana, kas ietekmēta līdz 70 miljoniem pircēju
• Divfaktoru autentifikācija: kam tā ir un kā to iestatīt Divfaktoru autentifikācija: kam tā ir un kā to iestatīt

Korporācijām jābūt juridiski un finansiāli atbildīgām par drošības pārkāpumiem, kas ietekmē klientus. Nepieciešami naudas sodi, izmeklēšana un tiesas noteiktas sekas. Nauda jātērē juristiem - daudz naudas . Pašreizējais modelis, kurā klientiem ir jātērē sava nauda un enerģija, lai ieviestu likumus, nav saprātīgs. Tā kā ir nepieciešama enerģija, lai pasargātu sevi no sīkas krāpšanas vai, vēl sliktāk, mēģinātu sakārtot savu dzīvi pēc identitātes zādzības.

Uzņēmumiem arī nopietni jāuztver draudi un jāplāno uzbrukumi. Jāsaglabā vismazākais klientu datu minimālais daudzums, un viss, kas tiek glabāts, jāglabā šifrētā veidā vai citos veidos, lai padarītu to nelietojamu, ja tas tiktu nozagts. Maksājumu sistēmu radītājiem arī jāsāk nopietni uztvert draudus, ko es esmu pārliecināts, ka viņi darītu, ja tirgotāji pieprasītu drošākas ierīces.

Jau labu laiku man ir aizdomas, ka milzīgais privātās informācijas apjoms, kas ir ticis atklāts pēdējā desmitgadē, nozīmē, ka visi kaut kādā veidā ir cietuši vai sāpinās. Tas nevar būt pieņemami. Runājot par sevi, es esmu savā otrajā 2019. gada debetkartē, jo pirmajiem diviem bija apdraudēts to skaits. Ir aprīlis.